このページの本文へ

Windows Serverで学ぶサーバOS入門 第28回

アクセスログの記録方法、SSLの設定も併せて紹介!

Active Directoryと連携できるIISの認証機能を理解

2010年08月17日 09時00分更新

文● 横山哲也/グローバルナレッジネットワーク株式会社

  • この記事をはてなブックマークに追加
  • 本文印刷

認証の種類

 Webサイトへのアクセスを、特定のユーザーやグループに制限したい場合がある。IISは、Active Directoryを使ってユーザーやグループの制御が簡単にできる。「誰が」アクセスしているのかを確認する機能を「認証(Authentication)」、アクセスの可否を決定する機能を「承認(Authorization)」、利用の事実を記録する機能を「アカウンティング(Accounting)」と呼ぶ。3つの機能はセットで「AAA」とも呼ばれる。IISでは、以下の認証方法に対応する。

(1)匿名認証

 「認証」と名前が付いているが、実際には認証を行なわない。インターネットではもっとも一般的なアクセス方法である

(2)Windows認証

 クライアントPCへログオンしたときのユーザー名とパスワードを自動的にWebサーバへ送信する。認証が成功した場合、ダイアログボックスが表示されないため非常に使いやすい。また、認証が失敗したときはアカウント情報を入力するためのダイアログボックスが表示されるため、クライアントPCがActive Directoryドメインに参加していない場合でも利用できる。Windowsネットワークではもっとも一般的な方法である

(3)基本認証

 アクセス時に必ずダイアログボックスを表示し、ユーザー名とパスワードを入力する。入力した情報は暗号化せずにWebサーバへ送信されるため、通常はSSLによる暗号化機能を併用する

(4)ダイジェスト認証

 基本認証と同様の仕組みだが、パスワードを暗号化して送信する。標準化された機能だが、それほど広くは使われていない。認証を必要とするサイトはSSLによる暗号化機能を持つことが多いため、基本認証で十分と考える管理者が多いためであろう

 そのほか、クライアントにインストールされた証明書をユーザーアカウントと結び付ける「証明書のマッピング認証」が利用できる。インターネットではクライアントへの証明書配付が一般的でないこと、イントラネットではWindows認証を簡単に使えることから今回は解説を省略する。

認証機能の追加

 既定で有効な認証は匿名認証だけである。そのほかの認証機能は、IISの役割サービスを追加することでインストールできる。認証機能を追加したら、IISマネージャで認証機能を利用したいWebサイトを選択し、「認証」をダブルクリック(画面6)。続いて、利用したい認証機能を右クリックし、「有効」を選択する(画面7)。

画面6・7●匿名認証以外の認証機能を追加する

承認の種類

 IISでは、ユーザーまたはグループに対して、アクセス許可を与えられる。これには、NTFSアクセス許可を使った承認と、IISベースの承認がある。NTFSアクセス許可はきめ細かに制御できるが、ファイルの読み取りや変更など、OSの機能に従った制限しかできない。

 一方、IISベースの承認は基本的な機能しかないが、HTTPプロトコルのコマンドを限定した制限ができる。たとえば、Web掲示板への投稿を禁止するためにPOSTメソッドだけを禁止するといったことが可能だ。

NTFSベースの承認

 IISマネージャで制限したいコンテンツを右クリックし、「アクセス許可の編集」を選ぶとNTFSベースのプロパティが表示される(画面8)。ここで読み取りの許可を持つユーザーだけがコンテンツを表示できる。ただし、既定のアクセス許可は複雑なので、十分注意して変更してほしい。

画面8●NTFSベースの承認を設定する

 匿名認証の場合は、特殊アカウント「IUSR」へのアクセスとみなされる。IUSRに対するアクセスを拒否すれば、匿名認証によるアクセスが禁止される。

 目的とするコンテンツがIISマネージャに表示されない場合は、IISマネージャの表示を「機能ビュー」タブから「コンテンツビュー」タブに切り替えればよい。また、エクスプローラでNTFSアクセス許可を直接設定してもかまわない。

IISベースの承認

 IISマネージャで制限したいWebサイトを選択し、「承認規則」をクリックする(右クリックメニューではない)。すると、IISベースの承認規則を設定できる(画面9・10)。規則には許可規則と拒否規則があり、拒否規則が優先される。

画面9・10●IISベースの承認を使う方法

 IISベースの承認規則は非常に単純である。ユーザーやグループ単位の設定も可能なので、NTFSを使うより簡単だろう。また、HTTPメソッドの指定もできる。

IPアドレスとドメイン名ベースの承認

 IISマネージャで制限したいWebサイトを選択し、「IPv4アドレスおよびドメインの制限」を選ぶと、IPv4アドレスやDNSドメイン名を使った承認が利用可能だ(画面11~14)。これにより、特定のIPアドレスやサブネットからのみ利用できるWebサイトを構築できる。制限に使うIPサブネットはIPアドレスのグループ化を行なうためのものなので、サーバのネットワーク設定と異なるサブネットマスクでもかまわない。

画面11~14●IPアドレスとドメイン名ベースの承認の設定

 DNSドメイン名を使った制限を行なう場合、アクセスのたびにDNSサーバに対して逆引きを行なう必要がある。これはWebサーバに対して大きな負担となるため、既定では無効になっている。有効にするには、IISマネージャで「機能設定の編集」を選択し、「ドメイン名の制限の有効化」を選択する。

(次ページ、「アカウンティング」に続く)


 

カテゴリートップへ

この連載の記事
  • 角川アスキー総合研究所
  • アスキーカード